Megosztás a következőn keresztül:

Az Azure DDoS Protection funkciói

  • Cikk

Az alábbi szakaszok az Azure DDoS Protection szolgáltatás főbb funkcióit ismertetik.

Folyamatos forgalomfigyelés

Az Azure DDoS Protection figyeli a tényleges forgalom kihasználtságát, és folyamatosan összehasonlítja a DDoS-szabályzatban meghatározott küszöbértékekkel. A forgalmi küszöbérték túllépése esetén a rendszer automatikusan elindítja a DDoS-kockázatcsökkentést. Ha a forgalom a küszöbértékek alatt tér vissza, a kockázatcsökkentés leáll.

Képernyőkép az Azure DDoS Protection kockázatcsökkentéséről.

A kockázatcsökkentés során a védett erőforrásba küldött forgalmat a DDoS védelmi szolgáltatás átirányítja, és számos ellenőrzést hajt végre, például:

  • Győződjön meg arról, hogy a csomagok megfelelnek az internetes specifikációknak, és nem hibásak.
  • Az ügyféllel együttműködve állapítsa meg, hogy a forgalom esetleg hamisított csomag-e (például: SYN Auth vagy SYN Cookie, vagy ha elvet egy csomagot a forrás számára az újraküldéshez).
  • Sebességkorlátozó csomagok, ha más kényszerítési módszer nem végezhető el.

Az Azure DDoS Protection elveti a támadási forgalmat, és továbbítja a fennmaradó forgalmat a kívánt célhelyre. A támadásészlelés után néhány percen belül értesítést kap az Azure Monitor metrikáiról. A DDoS Protection telemetriai naplózásának konfigurálásával megírhatja a naplókat a jövőbeli elemzéshez elérhető lehetőségekhez. Az Azure Monitor for DDoS Protection metrikaadatai 30 napig maradnak meg.

Adaptív valós idejű hangolás

A támadások összetettsége (például többvektoros DDoS-támadások) és a bérlők alkalmazásspecifikus viselkedése ügyfélenkénti, testreszabott védelmi szabályzatokat hív meg. A szolgáltatás ezt két megállapítással hajtja végre:

  • A 3. és 4. réteg ügyfélenkénti (nyilvános IP-címenkénti) forgalmi mintáinak automatikus megismerése.

  • A hamis pozitív értékek minimalizálása, figyelembe véve, hogy az Azure mérete lehetővé teszi, hogy jelentős mennyiségű forgalmat szívjon fel.

A DDoS Protection működésének ábrája.

DDoS Protection-telemetria, monitorozás és riasztás

Az Azure DDoS Protection gazdag telemetriát tesz elérhetővé az Azure Monitoron keresztül. A DDoS Protection által használt Azure Monitor-metrikákhoz konfigurálhat riasztásokat. A naplózást a Splunk (Azure Event Hubs), az Azure Monitor-naplók és az Azure Storage segítségével integrálhatja a speciális elemzéshez az Azure Monitor Diagnostics felületén keresztül.

Az Azure DDoS Protection kockázatcsökkentési szabályzatai

Az Azure Portalon válassza a Metrikák figyelése>lehetőséget. A Metrikák panelen válassza ki az erőforráscsoportot, válassza ki a nyilvános IP-cím erőforrástípusát, és válassza ki az Azure nyilvános IP-címét. A DDoS-metrikák az Elérhető metrikák panelen láthatók.

A DDoS Protection három automatikusan hangolt kockázatcsökkentési szabályzatot (TCP SYN, TCP és UDP) alkalmaz a védett erőforrás minden nyilvános IP-címére a DDoS-kompatibilis virtuális hálózaton. A szabályzat küszöbértékeit a metrika bejövő csomagjainak kiválasztásával tekintheti meg a DDoS-kockázatcsökkentés aktiválásához.

Képernyőkép az elérhető metrikákról és metrikák diagramról.

A szabályzat küszöbértékei automatikusan vannak konfigurálva gépi tanuláson alapuló hálózati forgalomprofilozással. A DDoS-kockázatcsökkentés csak a szabályzat küszöbértékének túllépésekor történik támadás alatt álló IP-címek esetében.

További információ: DDoS Protection-telemetria megtekintése és konfigurálása.

Egy IP-cím metrikája DDoS-támadás alatt

Ha a nyilvános IP-cím támadás alatt áll, a DDoS-támadás alatt lévő metrika értéke nem változik 1-re, mivel a DDoS Protection elhárítja a támadási forgalmat.

Képernyőkép a DDoS-támadásról, vagy nem a metrikáról és a diagramról.

Javasoljuk, hogy konfigurálja a riasztást ezen a metrikán. Ezután értesítést kap, ha aktív DDoS-kockázatcsökkentés történik a nyilvános IP-címén.

További információ: Az Azure DDoS Protection kezelése az Azure Portal használatával.

Webalkalmazási tűzfal erőforrás-támadásokhoz

Az alkalmazásréteg erőforrás-támadásaihoz konfigurálnia kell egy webalkalmazási tűzfalat (WAF) a webalkalmazások biztonságossá tételéhez. A WAF ellenőrzi a bejövő webes forgalmat az SQL-injektálások, a helyek közötti szkriptelés, a DDoS és más 7. rétegbeli támadások blokkolása érdekében. Az Azure a WAF-et az Application Gateway szolgáltatásaként biztosítja a webalkalmazások központi védelméhez a gyakori biztonsági rések és biztonsági rések ellen. Az Azure-partnerektől további WAF-ajánlatok érhetők el, amelyek az Azure Marketplace-en keresztül jobban megfelelnek az Igényeinek.

Még a webalkalmazási tűzfalak is érzékenyek a mennyiségi és az állapotkimerülési támadásokra. Határozottan javasoljuk, hogy engedélyezze a DDoS Protection használatát a WAF virtuális hálózaton a mennyiségi és protokollos támadások elleni védelem érdekében. További információkért tekintse meg az Azure DDoS Protection referenciaarchitektúráinak szakaszát .

Védelmi tervezés

A tervezés és az előkészítés kulcsfontosságú annak megértéséhez, hogy a rendszer hogyan fog teljesíteni egy DDoS-támadás során. Ennek a munkának a része az incidenskezelési választerv tervezése.

Ha rendelkezik DDoS Protection-védelemmel, győződjön meg arról, hogy engedélyezve van az internetkapcsolattal rendelkező végpontok virtuális hálózatán. A DDoS-riasztások konfigurálásával folyamatosan figyelheti az infrastruktúra esetleges támadásait.

Az alkalmazásokat egymástól függetlenül figyelheti. Az alkalmazások normál viselkedésének megismerése. Készüljön fel a cselekvésre, ha az alkalmazás nem a várt módon viselkedik egy DDoS-támadás során.

Megtudhatja, hogyan reagálnak a szolgáltatások a támadásokra DDoS-szimulációkon keresztüli teszteléssel.

Következő lépések

  • További információ a referenciaarchitektúrákról.